這篇文章主要介紹“Nginx如何防盜鏈”，在日常操作中，相信很多人在Nginx如何防盜鏈問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”Nginx如何防盜鏈”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

成都創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供沙河企業(yè)網(wǎng)站建設(shè),專(zhuān)注與網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、H5高端網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為沙河眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)的建站公司優(yōu)惠進(jìn)行中。

簡(jiǎn)單有效的防盜鏈?zhǔn)侄?/h3>

場(chǎng)景

如果做過(guò)個(gè)人站點(diǎn)的同學(xué)，可能會(huì)遇到別人盜用自己站點(diǎn)資源鏈接的情況，這就是盜鏈。說(shuō)到盜鏈就要說(shuō)一個(gè) HTTP 協(xié)議的 頭部，referer 頭部。當(dāng)其他網(wǎng)站通過(guò) URL 引用了你的頁(yè)面，用戶(hù)在瀏覽器上點(diǎn)擊 URL 時(shí)，HTTP 請(qǐng)求的頭部會(huì)通過(guò) referer 頭部將該網(wǎng)站當(dāng)前頁(yè)面的 URL 帶上，告訴服務(wù)器本次請(qǐng)求是由誰(shuí)發(fā)起的。

例如，在谷歌中搜索 Nginx 然后點(diǎn)擊鏈接：

<img src="https://s3plus.meituan.net/v1/mss_f32142e8d47149129e9550e929704625/yzz-test-image/20200614144801.229887" />

在打開(kāi)的新頁(yè)面中查看請(qǐng)求頭會(huì)發(fā)現(xiàn)，請(qǐng)求頭中包含了 referer 頭部且值是 https://www.google.com/ 。

<img src="https://s3plus.meituan.net/v1/mss_f32142e8d47149129e9550e929704625/yzz-test-image/20200614143843.338211" />

像谷歌這種我們是允許的，但是有一些其他的網(wǎng)站想要引用我們自己網(wǎng)站的資源時(shí)，就需要做一些管控了，不然豈不是誰(shuí)都可以拿到鏈接。

目的

這里目的其實(shí)已經(jīng)很明確了，就是要拒絕非正常的網(wǎng)站訪問(wèn)我們站點(diǎn)的資源。

思路

• invalid_referer 變量

• referer 提供了這個(gè)變量，可以用來(lái)配置哪些 referer 頭部合法，也就是，你允許哪些網(wǎng)站引用你的資源。

referer 模塊

要實(shí)現(xiàn)上面的目的，referer 模塊可得算頭一號(hào)，一起看下 referer 模塊怎么用的。

• 默認(rèn)編譯進(jìn) Nginx，通過(guò) --without-http_referer_module 禁用

referer 模塊有三個(gè)指令，下面看一下。

Syntax: valid_referers none | blocked | server_names | string ...; Default: — Context: server, location  Syntax: referer_hash_bucket_size size; Default: referer_hash_bucket_size 64;  Context: server, location  Syntax: referer_hash_max_size size; Default: referer_hash_max_size 2048;  Context: server, location

valid_referers referer_hash_bucket_size referer_hash_max_size

這里面最重要的是 valid_referers 指令，需要重點(diǎn)來(lái)說(shuō)明一下。

valid_referers 指令

可以同時(shí)攜帶多個(gè)參數(shù)，表示多個(gè) referer 頭部都生效。

參數(shù)值

• none

• 允許缺失 referer 頭部的請(qǐng)求訪問(wèn)

• block：允許 referer 頭部沒(méi)有對(duì)應(yīng)的值的請(qǐng)求訪問(wèn)。例如可能經(jīng)過(guò)了反向代理或者防火墻

• server_names：若 referer 中站點(diǎn)域名與 server_name 中本機(jī)域名某個(gè)匹配，則允許該請(qǐng)求訪問(wèn)

• string：表示域名及 URL 的字符串，對(duì)域名可在前綴或者后綴中含有 * 通配符，若 referer 頭部的值匹配字符串后，則允許訪問(wèn)

• 正則表達(dá)式：若 referer 頭部的值匹配上了正則，就允許訪問(wèn)

invalid_referer 變量

• 允許訪問(wèn)時(shí)變量值為空

• 不允許訪問(wèn)時(shí)變量值為 1

實(shí)戰(zhàn)

下面來(lái)看一個(gè)配置文件。

server {     server_name referer.ziyang.com;     listen 80;      error_log logs/myerror.log debug;     root html;     location /{         valid_referers none blocked server_names                        *.ziyang.com www.ziyang.org.cn/nginx/                        ~\.google\.;         if ($invalid_referer) {                 return 403;         }         return 200 'valid\n';     } }

那么對(duì)于這個(gè)配置文件而言，以下哪些請(qǐng)求會(huì)被拒絕呢？

curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/ curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/ curl -H 'referer: ' referer.ziyang.com/ curl referer.ziyang.com/ curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/ curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/ curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/ curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/

我們需要先來(lái)解析一下這個(gè)配置文件。 valid_referers 指令配置了哪些值呢？

valid_referers none blocked server_names         *.ziyang.com www.ziyang.org.cn/nginx/         ~\.google\.;

• none：表示沒(méi)有 referer 的可以訪問(wèn)

• blocked：表示 referer 沒(méi)有值的可以訪問(wèn)

• server_names：表示本機(jī) server_name 也就是 referer.ziyang.com 可以訪問(wèn)

• *.ziyang.com：匹配上了正則的可以訪問(wèn)

• www.ziyang.org.cn/nginx/：該頁(yè)面發(fā)起的請(qǐng)求可以訪問(wèn)

• ~\.google\.：google 前后都是正則匹配

下面就實(shí)際看下響應(yīng)：

# 返回 403，沒(méi)有匹配到任何規(guī)則 ?  ~ curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/ <html> <head><title>403 Forbidden</title></head> <body> <center><h2>403 Forbidden</h2></center> <hr><center>nginx/1.17.8</center> </body> </html> ?  ~ curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/ <html> <head><title>403 Forbidden</title></head> <body> <center><h2>403 Forbidden</h2></center> <hr><center>nginx/1.17.8</center> </body> </html> # 匹配到了 *.ziyang.com ?  ~ curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/ valid ?  ~ curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/ valid # 匹配到了 server name ?  ~ curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/ valid # 匹配到了 blocked ?  ~ curl -H 'referer: ' referer.ziyang.com/ valid # 匹配到了 none ?  ~ curl referer.ziyang.com/ valid # 匹配到了 ~\.google\. ?  ~ curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/ valid

防盜鏈另外一種解決方案：secure_link 模塊

referer 模塊是一種簡(jiǎn)單的防盜鏈?zhǔn)侄危仨氁蕾?lài)瀏覽器發(fā)起請(qǐng)求才會(huì)有效，如果攻擊者偽造 referer 頭部的話(huà)，這種方式就失效了。

secure_link 模塊是另外一種解決的方案。

它的主要原理是，通過(guò)驗(yàn)證 URL 中哈希值的方式防盜鏈。

基本過(guò)程是這個(gè)樣子的：

• 由服務(wù)器（可以是 Nginx，也可以是其他 Web 服務(wù)器）生成加密的安全鏈接 URL，返回給客戶(hù)端

• 客戶(hù)端使用安全 URL 訪問(wèn) Nginx，由 Nginx 的 secure_link 變量驗(yàn)證是否通過(guò)

原理如下：

• 哈希算法是不可逆的

• 客戶(hù)端只能拿到執(zhí)行過(guò)哈希算法的 URL

• 僅生成 URL 的服務(wù)器，驗(yàn)證 URL 是否安全的 Nginx，這兩者才保存原始的字符串

• 原始字符串通常由以下部分有序組成：

• 資源位置。如 HTTP 中指定資源的 URI，防止攻擊者拿到一個(gè)安全 URI 后可以訪問(wèn)任意資源

• 用戶(hù)信息。如用戶(hù)的 IP 地址，限制其他用戶(hù)盜用 URL

• 時(shí)間戳。使安全 URL 及時(shí)過(guò)期

• 密鑰。僅服務(wù)器端擁有，增加攻擊者猜測(cè)出原始字符串的難度

模塊：

• ngx_http_secure_link_module

• 未編譯進(jìn) Nginx，需要通過(guò) --with-http_secure_link_module 添加

• 變量

• secure_link

• secure_link_expires

Syntax: secure_link expression; Default: — Context: http, server, location  Syntax: secure_link_md5 expression; Default: — Context: http, server, location  Syntax: secure_link_secret word; Default: — Context: location

變量值及帶過(guò)期時(shí)間的配置示例

• secure_link

• 值為空字符串：驗(yàn)證不通過(guò)

• 值為 0：URL 過(guò)期

• 值為 1：驗(yàn)證通過(guò)

• secure_link_expires

• 時(shí)間戳的值

命令行生成安全鏈接

• 生成 md5

echo -n '時(shí)間戳URL客戶(hù)端IP密鑰' | openssl md5 -binary | openssl base64 | tr +/ - | tr -d =

• 構(gòu)造請(qǐng)求 URL

/test1.txt?md5=md5生成值&expires=時(shí)間戳（如 2147483647）

Nginx 配置

• secure_link &dollar;arg_md5,$arg_expires;

• secure_link 后面必須跟兩個(gè)值，一個(gè)是參數(shù)中的 md5，一個(gè)是時(shí)間戳

• secure_link_md5 \"&amp;dollar;secure_link_expires&dollar;uri&dollar;remote_addr secret";

• 按照什么樣的順序構(gòu)造原始字符串

實(shí)戰(zhàn)

下面是一個(gè)實(shí)際的配置文件，我這里就不做演示了，感興趣的可以自己做下實(shí)驗(yàn)。

server {     server_name securelink.ziyang.com;     listen 80;     error_log  logs/myerror.log  info;     default_type text/plain;     location /{         secure_link $arg_md5,$arg_expires;         secure_link_md5 "$secure_link_expires$uri$remote_addr secret";          if ($secure_link = "") {             return 403;         }          if ($secure_link = "0") {             return 410;         }          return 200 '$secure_link:$secure_link_expires\n';     }      location /p/ {         secure_link_secret mysecret2;          if ($secure_link = "") {             return 403;         }          rewrite ^ /secure/$secure_link;     }      location /secure/ {         alias html/;         internal;     } }

僅對(duì) URI 進(jìn)行哈希的簡(jiǎn)單辦法

除了上面這種相對(duì)復(fù)雜的方式防盜鏈，還有一種相對(duì)簡(jiǎn)單的防盜鏈方式，就是只對(duì) URI 進(jìn)行哈希，這樣當(dāng) URI 傳

secure_link_secret secret;

命令行生成安全鏈接

• 原請(qǐng)求

• link

• 生成的安全請(qǐng)求

• /prefix/md5/link

• 生成 md5

• echo -n 'linksecret' | openssl md5 –hex

Nginx 配置

• secure_link_secret secret;

這個(gè)防盜鏈的方法比較簡(jiǎn)單，那么具體是怎么用呢？大家都在網(wǎng)上下載過(guò)資源對(duì)吧，不管是電子書(shū)還是軟件，很多網(wǎng)站你點(diǎn)擊下載的時(shí)候往往會(huì)彈出另外一個(gè)頁(yè)面去下載，這個(gè)新的頁(yè)面其實(shí)就是請(qǐng)求的 Nginx 生成的安全 URL。如果這個(gè) URL 被拿到的話(huà)，其實(shí)還是可以用的，所以需要經(jīng)常的更新密鑰來(lái)確保 URL 不會(huì)被盜用。

到此，關(guān)于“Nginx如何防盜鏈”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！

當(dāng)前名稱(chēng)：Nginx如何防盜鏈
鏈接地址：http://www.chinadenli.net/article28/iphscp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站內(nèi)鏈、網(wǎng)站設(shè)計(jì)公司、App設(shè)計(jì)、App開(kāi)發(fā)、用戶(hù)體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)